Secure Boot, la implementación de UEFI de Microsoft, ha sido un motivo de preocupación para los usuarios de Linux desde que se anunció en enero de 2012. Lo hemos visto varias veces antes, pero como el polvo aún se está asentando, hemos decidido revisitarlo.

Pero antes de adelantarnos, volvamos al principio y descubramos exactamente qué es Secure Boot..

Antes de 2012, todas las PC se iniciaban con BIOS. Esta fue una reliquia de la década de los 80 que muchos fabricantes implementaron de forma incorrecta, lo que llevó a un tipo de sistema de kludgey que se mantuvo unido por el equivalente digital de la cinta de Gaffa. Funcionó, pero solo por el arduo trabajo de los desarrolladores que podrían haber dedicado su tiempo a crear cosas mucho más interesantes que las interfaces de arranque si no estuvieran jugueteando tratando de hacer que las malditas cosas funcionen mejor..

Entonces, cuando Microsoft comenzó a hablar con los fabricantes sobre la posibilidad de reemplazar el sistema anterior, todos se alegraron por la inminente desaparición de BIOS..

UEFI es, en muchos aspectos, un sistema muy superior. Le da a los programas de arranque más espacio para trabajar y puede admitir mejor el hardware más moderno. Si todo se hubiera dejado allí, la mayoría de la gente habría sido feliz..

Sin embargo, no fue así. Ellos hicieron pequeños retoques. Tuvieron que ir un paso más allá y agregaron Secure Boot. Esta es una extensión de UEFI que restringe el arranque a solo sistemas que han sido firmados criptográficamente con una clave de confianza. Y la picadura en la cola: Microsoft controla la llave maestra. Astuto.

Por supuesto, como sabemos, esta pequeña adición no hace que sea absolutamente imposible para Linux arrancar en sistemas de arranque seguro, solo hace que sea un poco complicado.

Riesgo de seguridad

Por supuesto, sería fácil afirmar que todo es solo un intento cínico de Microsoft para restringir aún más su control en la industria de las PC, y hay muchas personas que sostienen esa opinión en particular..

Sin embargo, se basa en un riesgo de seguridad genuino que se puede encontrar en Windows: los virus del sector de arranque. Esta es una clase de malware que infecta el Master Boot Record (MBR) que se encuentra al inicio de un disco. Cuando el usuario arranca, el BIOS ejecuta el código en el MBR. Si todo está bien, en un sistema que se ejecuta correctamente, esto inicia el sistema operativo. Sin embargo, un virus del sector de inicio puede secuestrar este proceso y ejecutar alguna acción maliciosa antes de iniciar el sistema operativo.

Bajo el sistema de arranque seguro, el sistema solo iniciará el código firmado, por lo que, en general, dichos virus no podrán iniciarse. Suena bien, ¿verdad? Bueno, hay un par de problemas no insignificantes con eso..

En primer lugar, se basa en una sola clave, e históricamente las claves individuales no han podido permanecer en secreto por mucho tiempo (¿recuerdas cuando las claves de PlayStation y Blu-ray eran secretas?). En segundo lugar, y quizás más importante, los virus del sector de arranque eran comunes en los días de MS-DOS. El mundo ha avanzado bastante desde entonces, y los creadores de malware no son una excepción..

El arranque seguro es un trastorno enorme para resolver un problema que se estaba extinguiendo por sí solo. Francamente, existen muchas más preocupaciones de seguridad para Windows que no se ven afectadas por ello..

Microsoft habla

Deshabilitar UEFI puede ser una tarea incómoda, pero vale la pena preocuparse por ello a largo plazo.

Por lo tanto, no es probable que tenga un impacto en el mundo del software malintencionado en Windows. Tampoco es particularmente efectivo para bloquear otros sistemas operativos de las PC. En las Pautas de certificación de hardware de Windows 8, el estado de Microsoft:

"17. Obligatorio. En los sistemas que no son ARM, la plataforma DEBE implementar la capacidad para que un usuario físicamente presente seleccione entre dos modos de inicio seguro en la configuración del firmware:" Personalizado "y" Estándar ". El Modo personalizado permite mayor flexibilidad como se especifica en lo siguiente: a. Será posible para un usuario físicamente presente usar la opción de configuración de firmware del Modo personalizado para modificar el contenido de las bases de datos de firmas de arranque seguro y la PK. Esto se puede implementar simplemente proporcionando la opción de borrar todo el arranque seguro bases de datos (PK, KEK, db, dbx), que ponen el sistema en modo de configuración.